Recomendaciones para administrar varias cuentas en Security Hub (CSPM)

En la siguiente sección se resumen algunas restricciones y recomendaciones que se deben tener en cuenta al administrar las cuentas de los miembros en AWS Security Hub CSPM.

Número máximo de cuentas miembro

Si utilizas la integración con AWS Organizations, Security Hub CSPM admite hasta 10 000 cuentas de miembros por cuenta de administrador delegado en cada una de ellas. Región de AWS Si habilita y administra Security Hub CSPM manualmente, Security Hub CSPM admite hasta 1000 invitaciones de cuentas de miembros por cuenta de administrador en cada región.

Creación de relaciones administrador-miembro

nota

Si utilizas la integración CSPM de Security Hub con AWS Organizations una cuenta de miembro y no has invitado manualmente a ninguna cuenta de miembro, esta sección no se aplica a ti.

Una cuenta no puede ser cuenta de administrador y cuenta de miembro al mismo tiempo.

Una cuenta miembro solo se puede asociar con una cuenta de administrador. Si la cuenta de administrador CSPM de Security Hub habilita una cuenta de organización, la cuenta no podrá aceptar una invitación de otra cuenta. Si una cuenta ya ha aceptado una invitación, la cuenta de administrador de CSPM de Security Hub de la organización no podrá habilitarla. Tampoco puede recibir invitaciones de otras cuentas.

En el caso del proceso de invitación manual, aceptar una invitación para convertirse en miembro es opcional.

Membresía mediante AWS Organizations

Si integra Security Hub CSPM con AWS Organizations, la cuenta de administración de la organización puede designar una cuenta de administrador delegado (DA) para Security Hub CSPM. En Organizations, la cuenta de administración de la organización no se puede configurar como el administrador delegado. Si bien esto está permitido en Security Hub CSPM, recomendamos que la cuenta de administración de Organizations no sea la DA.

Le recomendamos que seleccione la misma cuenta de administrador delegado en todas las regiones. Si usa la configuración central, Security Hub CSPM establece la misma cuenta DA en todas las regiones en las que configura Security Hub CSPM para su organización.

También le recomendamos que elija la misma cuenta DA en todos los servicios de AWS seguridad y cumplimiento para ayudarle a gestionar los problemas relacionados con la seguridad desde un único panel de control.

Membresía por invitación

En el caso de las cuentas miembro creadas mediante invitación, la asociación de cuentas administrador-miembro se crea únicamente en la región desde la que se envía la invitación. La cuenta de administrador debe habilitar el CSPM de Security Hub en cada región en la que desee usarla. A continuación, la cuenta de administrador invita a cada cuenta a convertirse en cuenta de miembro en esa región.

nota

Recomendamos utilizar, AWS Organizations en lugar de Security Hub, invitaciones CSPM para gestionar las cuentas de los miembros.

Coordinar cuentas de administrador en todos los servicios

Security Hub CSPM agrega los hallazgos de varios AWS servicios, como Amazon, Amazon GuardDuty Inspector y Amazon Macie. Security Hub CSPM también permite a los usuarios pasar de un GuardDuty hallazgo a iniciar una investigación en Amazon Detective.

Sin embargo, las relaciones administrador-miembro que se configuran en estos otros servicios no se aplican automáticamente a Security Hub CSPM. Security Hub CSPM recomienda utilizar la misma cuenta que la cuenta de administrador para todos estos servicios. Esta cuenta de administrador debe ser una cuenta responsable de las herramientas de seguridad. La misma cuenta también debe ser la cuenta de agregador de AWS Config.

Por ejemplo, un usuario de la cuenta de GuardDuty administrador A puede ver los resultados de las cuentas de GuardDuty los miembros B y C en la GuardDuty consola. Si la cuenta A activa el CSPM de Security Hub, los usuarios de la cuenta A no ven automáticamente los GuardDuty resultados de las cuentas B y C en Security Hub CSPM. También se requiere una relación administrador-miembro de Security Hub CSPM para estas cuentas.

Para ello, convierta la cuenta A en la cuenta de administrador de CSPM de Security Hub y habilite las cuentas B y C para que se conviertan en cuentas miembros de Security Hub CSPM.